JavaScript ist in Ihrem Browser deaktiviert.
Sie können manche Teile der Website daher leider nicht verwenden.
Zeitschriften Cover

Datenschutz konkret
Recht - Projekte - Lösungen

Inhaltsverzeichnis

ISSN: 2313-5409
Reihe: Dako - Datenschutz konkret
Verlag: Manz Verlag Wien
Format: Zeitschrift
Jahrgang 2020 - mehr unter http://dako.manz.at
Datenschutzbehörden auch in Krise aktiv
Rainer Knyrim
 
Der jö Bonus Club ist kein Pricing-Tool, sondern ein Kundenbindungsprogramm
Interview mit Ulrike Kittinger, Geschäftsführerin der Unser Ö-Bonus Club GmbH.
Ulrike Kittinger spricht über die Durchführung eines Multipartner-Kundenbindungsprogramms und welchen hohen Stellenwert der Datenschutz beim jö Bonus Club einnimmt.
Hans-Jürgen Pollirer
 
DSGVO-Datenschutzzertifikate in greifbarer Nähe?
Eine Besprechung des Entwurfs der Zertifizierungsstellen-Akkreditierungs-VO.
Datenschutzzertifizierung nach DSGVO rückt in greifbare Nähe! Ende April hat die DSB ihren Entwurf für eine Verordnung über die Anforderungen an die Akkreditierung einer Zertifizierungsstelle (Zertifizierungsstellen-Akkreditierungs-Verordnung; kurz: ZeStAkk-V) zur Begutachtung ausgesendet. Mit einer finalen Fassung der V ist wohl nicht vor Herbst zu rechnen, da die Begutachtungsfrist bis 26. 6. 2020 läuft und im Anschluss der allenfalls überarbeitete Entwurf vom Europäischen Datenschutzausschuss genehmigt werden muss. Dennoch bekommen wir ein gutes Bild davon, was die datenschutzrechtliche Zertifizierung in Zukunft bereithalten wird. In Bezug auf einzelne Vorgaben und Anforderungen sind Änderungen wünschenswert.
Gerald Trieb, Maximilian Kröpfl
Der besondere Auskunftsanspruch über die involvierte Logik einer Datenverarbeitung
Automatisierte Entscheidungsfindung einschließlich Profiling; aussagekräftige Informationen; involvierte Logik, Tragweite und Auswirkungen einer Verarbeitung; Auskunft über einen Algorithmus; Betriebs- und Geschäftsgeheimnisse.
Das Auskunftsrecht ist (mit dem Recht auf Löschung) jenes Betroffenenrecht, das am häufigsten zum Gegenstand eines Beschwerdeverfahrens gemacht wird. Dabei wirft der besondere Auskunftsanspruch nach Art 15 Abs 1 lit h DSGVO Fragen auf, allen voran in Hinblick auf das Spannungsverhältnis zwischen der Bereitstellung von Informationen über die involvierte Logik der Datenverarbeitung („Berechnungsformel“) und dem Schutz von Geschäfts- und Betriebsgeheimnissen. Der Beitrag beleuchtet die Voraussetzungen für das Bestehen des besonderen Auskunftsanspruchs und widmet sich den Informationen, die zur Verfügung zu stellen sind. Schließlich wird auf verfahrensrechtliche Aspekte des Beschwerdeverfahrens eingegangen.
Andreas Zavadil
Information & Transparenz im Datenschutz (Teil 1)
Leitlinien für Transparenz gem der DSGVO.
Teil 1 des Beitrags behandelt das Transparenzgebot und Transparenzanforderungen. Teil 2 geht auf den Inhalt der Informationspflichten ein.
Ursula Illibauer
Sommerrodeln und Datenschutz – ein Beitrag zur Vertragsfreiheit
Vertrag; Vertragserfüllung; Vertragsfreiheit; Privatautonomie; Koppelung; Koppelungsverbot.
Die DSGVO bietet den Verantwortlichen einen Katalog von Rechtfertigungsgründen, auf die sie ihre Datenverarbeitungen stützen können; ua auf die Vertragserfüllung (Art 6 Abs 1 UAbs 1 lit b DSGVO). Der Beitrag zeigt auf, dass ein zu enges Verständnis dieses Rechtfertigungsgrunds schädlich sein kann, und kritisiert das Verständnis des Europäischen Datenschutzausschusses (EDSA) in seiner aktuellen Leitlinie.
Martin Knoll
Strafrechtliche Folgen eines Missbrauchs des Auskunftsrechts (Teil 2)
Auskunftsrecht; Missbrauch; Strafrecht; widerrechtliches Verschaffen; Täuschung; Amtsmissbrauch; Amtsgeheimnis.
Der erste Teil des Beitrags erörterte die Frage, ob jemand, der ein Auskunftsbegehren gegenüber Verantwortlichen im privaten Sektor stellt und sich dabei als jemand anderer ausgibt, strafrechtlich belangt werden kann. Der vorliegende zweite Teil widmet sich jenen Fällen, in denen der Verantwortliche dem öffentlichen Bereich angehört.
Célia Chausse, Georg Kudrna
 
Checkliste Homeoffice und COVID-19
Unterstützung bei der Einführung von Homeoffice.
Homeoffice wurde in der durch den Virus COVID-19 verursachten Notsituation zum Alltag für viele Mitarbeiter. Nach dem Ende der Not-Telearbeit wird von vielen Unternehmen überlegt, ob die Einführung eines „echten“ Homeoffice zukünftig für das Unternehmen Vorteile bringen könnte. Allerdings stellt das Arbeiten in den eigenen vier Wänden alle Beteiligten vor neue Herausforderungen – in Bezug auf Arbeitsrecht, Datenschutz und Informationssicherheit.
Hans-Jürgen Pollirer
 
Rechtsprechung
Erfüllung der Informationspflicht.
Gegen die Verletzung der Informationspflicht können sich betroffene Personen bei der DSB beschweren. Im Online-Kontext können Informationen auf der Webseite zum Abruf bereitgestellt werden. Bevorzugt ist über konkrete Empfänger – nicht bloß Kategorien von Empfängern – zu informieren. Bei unzureichender Informationserteilung kann die DSB die nachträgliche Informationserteilung anordnen.
Art 12, 13, 14 DSGVO; § 24 DSG
DSB 22. 8. 2019, DSB-D130.206/0006-DSB/2019
Viktoria Haidinger, Michael Löffler
Die Datenlöschung aus Anlass eines Auskunftsantrags ist unzulässig.
Personenbezogene Daten als Reaktion auf Auskunftsbegehren (ohne Löschprotokoll) zu löschen, ist unzulässig. Diese Vorgehensweise widerspricht dem Prinzip der Verarbeitung nach Treu und Glauben bzw der Transparenz und stellt eine Verletzung des Auskunftsanspruchs dar.
Art 5 Abs 1 lit a, Art 15 DSGVO
DSB 27. 6. 2019, DSB-D124.071/0005-DSB/2019
Viktoria Haidinger, Michael Löffler
 
Fragen aus der Praxis
FAQ-Special zu Corona und Arbeitsrecht
Viktoria Haidinger
 
Buchtipp
Muster zur Umsetzung der DSGVO in der Praxis.
Lukas Feiler und Thomas Rainer Schmitt. Verlag Österreich, Wien 2019. XIV, 489 Seiten, br, Euro 99,–.
Wie der Titel verrät, handelt es sich um ein Musterbuch. Die Muster sind zunächst auf Deutsch, anschließend auf Englisch abgedruckt. Um Lesenden die Arbeit mit den oft umfassenden Mustern zu erleichtern, enthält das Buch auch Informationen zum Herunterladen von Word-Vorlagen.
Inhaltlich erfasst werden die Bereiche: Auftragsverarbeitung, Datenschutzbeauftragte, Betriebs- bzw Individualvereinbarung, Cookies, Datenschutzerklärung, Datenschutz-Folgenabschätzung, Einwilligungserklärung, interne Richtlinien, Gemeinsam Verantwortliche, Datenpanne und Verzeichnis von Verarbeitungstätigkeiten. Lesende finden im Buch etwa ein Muster für eine datenschutzrechtliche Rahmenbetriebsvereinbarung, Vorlagen für Datenschutzerklärungen für Webshops, bzw Veranstaltungen, ein Beispiel einer Datenschutz-Folgenabschätzung für eine App, einen Entwurf für eine Einwilligungserklärung zur Evidenzhaltung von Bewerber*innendaten uvm. Kurze Checklisten zu den Themen Auftragsverarbeitung, Datenschutzerklärung, Datenschutz-Folgenabschätzung, interne Richtlinien und Datenpanne helfen, hierbei den Überblick zu behalten.
Wie immer bei Vorlagen müssen diese an die konkreten Umstände angepasst werden. Formulierungen zur Speicherdauer wie „solange [...] gesetzliche Aufbewahrungspflichten bestehen“ sind in einer Mustersammlung wohl unvermeidbar. In der Praxis erwartet sich die DSB konkretere Informationen. Der Verweis auf die „Erfüllung rechtlicher Verpflichtungen“ wurde bereits als unzureichend erachtet (vgl DSB 22. 8. 2019, DSB-D130.206/0006-DSB/2019 Dako 2020/38). Diesbezüglich werden Lesende aber durch die Aufstellung konkreter, sich aus bestimmten Rechtsnormen ergebender, Löschfristen im Muster für ein Löschkonzept unterstützt. Die schwierige und zeitraubende Arbeit, Muster an die eigenen Verarbeitungen anzupassen, nimmt das Buch nicht ab. Va im schnelllebigen Online-Bereich muss hierbei akribisch vorgegangen werden und müssen auch die Erkenntnisse der letzten EuGH-Entscheidungen zu Cookies bzw Social Plugins berücksichtigt werden, um rechtskonform zu agieren (vgl die Praxistipps bei EuGH 29. 7. 2019, C-40/17, Fashion ID, Dako 2020/24 [Gabauer]).
Mittlerweile hat wohl jeder Verantwortliche oder Auftragsverarbeiter die DSGVO umgesetzt. Inzwischen ist es aber schon wieder an der Zeit, eigene Vorlagen kritisch zu prüfen. Die Checklisten und Muster in diesem Buch können dabei eine Hilfe sein.
Michael Löffler
Datenschutz in Fragen und Antworten.
Gerhard Kunnert. Verlag LexisNexis, Wien 2019. 234 Seiten geb, Euro 44,–.
Wie Kunnert, Stellvertretender Abteilungsleiter im Justizministerium und seit vielen Jahren Experte im Datenschutzrecht (er hat ua die DSGVO in Brüssel vier Jahre lang als österr Regierungsexperte mitverhandelt), im Vorwort seines Buchs schreibt, ist dieses aus einem Vortragsskriptum, das auf einer Veranstaltungsreihe des Verbands der öffentlichen Wirtschaft und Gemeinwirtschaft Österreichs und des Österreichischen Städtebundes basiert, entstanden. Es ist in 30 Kapitel gegliedert, wobei in jedem dieser Kapitel kurze Fragen aus der Praxis mit kurzen bis etwas ausführlicheren Antworten behandelt werden. Beim Lesen dieser Fragen schwankte ich – nach einer Vortragsserie für die Wirtschaftskammern Wien, Niederösterreich, Burgenland und Steiermark, die mich auf „Tournee“ durch Ostösterreich und zu über 4.000 Unternehmen und deren Mitarbeitern geführt hatte – zwischen belustigtem Kopfnicken, wenn man sich an dieselben Fragen erinnert (bspw zu Namen auf Klingelschildern oder zur Verwendung von Dashcams), und entsetztem Kopfschütteln, weil man die Frage kaum noch hören kann (etwa zu WhatsApp, Fotografieren bei Veranstaltungen oder Auftragsverarbeiterverträgen).
Der Schwerpunkt der Fragen und Antworten liegt im öffentlichen Recht. Gerade Leser aus der öffentlichen Verwaltung werden sich daher über dieses Buch freuen, weil dort sie betreffende Fragen beantwortet werden; etwa wer in der kommunalen Hoheitsverwaltung der „Verantwortliche“ iSd Art 4 DSGVO ist, ob Kommunalbetriebe oder Gebietskörperschaften „öffentliche Stellen“ iSd DSGVO sind, ob eine Gemeinde Mitarbeiterfotos auf ihrer Gemeinde-Webseite veröffentlichen darf, wie die Informationspflichten der Art 12ff DSGVO in öffentlichen Bereichen konkret erfüllt werden könnten, oder ob bestimmte öffentliche Einrichtungen interne oder externe Datenschutzbeauftragte beauftragen müssen oder dürfen. Manche Fragen beziehen sich auf namentlich genannte Organisationen, etwa ob gegen das Österreichische Rote Kreuz oder einen Bewährungshilfeverein eine Geldbuße verhängt werden kann.
Die Themen betreffen entsprechend dem öffentlichen Schwerpunkt zum Teil deren spezifische Praxisbereiche, so gibt es etwa zahlreiche Fragen und Antworten zur Verwendung von Meldedaten durch Gemeinden oder andere öffentliche Einrichtungen.
Aber auch Leser aus der Privatwirtschaft werden Fragen und Antworten finden, die sie interessieren können, etwa zu den Begriffen Anonymität und Pseudonymität, zu Facebook-Fanpages (noch nicht enthalten: die EuGH-Entscheidung Fashion-ID zu Social Media Plug-ins), zu Speicherdauern, Löschungsverpflichtungen, aber auch zu Themen wie den Rechten und Pflichten des Betriebsrats.
Kunnert gibt – seriöserweise – auf viele Fragen keine eindeutige Antwort, da diese von den möglichen bzw gewählten Rechtsgrundlagen, den abzuwägenden Interessenslagen und möglichen Maßnahmen im Hinblick auf die Grundprinzipen der DSGVO, die als Lösung ergriffen werden können, abhängt. Die Antworten werden jedoch immer erfreulich kurz und prägnant angerissen, sodass der Leser einen Mehrwert dadurch erhält, dass er entweder überprüfen kann, ob seine eigenen Überlegungen die richtigen Aspekte miteinbezogen haben oder dadurch, dass er auf neue Möglichkeiten oder Argumente stößt, die ihm vielleicht weiterhelfen. Dementsprechend ist das Buch als eine Art Checkliste für die vielen ständig auf die Praktiker „einprasselnden“ Fragen, für den Leser sehr gut zu gebrauchen. Dies trifft auch auf den Anhang zu, der sehr anschaulich Positiv- und Negativbeispiele bspw von Einwilligungen in Geschäftsbedingungen auf Webseiten oder in Formularen enthält.
Rainer Knyrim
 
Viktoria Haidinger, Wirtschaftskammer Österreich
SONSTIGES
Informationen der Datenschutzbehörden zur Corona-Krise
PNR-Stelle – Zahlen für 2019